[English]In Trend Micro Anti-Threat Toolkit sollte durch ein Update des Hersteller die Schwachstelle CVE-2019-9491 im Oktober 2019 gefixt werden. Nach mir vorliegenden Informationen und einem Test ist diese Schwachstelle aber weiterhin offen. Der Ratschlag: Finger weg vom Trend Micro Anti-Threat Toolkit!
Anzeige
Worum geht es?
Das Trend Micro Anti-Threat Toolkit (ATTK) ermöglicht Nutzern einen Malware-Scan auf einem Windows-System auszuführen. Es ist keine reguläre Virenschutzlösung, sondern ein Tool, welches man sich lädt und auf seinem System ausführt, wenn der Verdacht auf eine Infektion vorliegt.
(Trend Micro Anti-Threat Toolkit (ATTK))
Zum 21. Oktober 2019 hatte Trend Micro aber diese Sicherheitswarnung zur Schwachstelle CVE-2019-9491 herausgegeben. Das Anti-Threat Toolkit (ATTK) in der Windows-Version 1.62.0.1218 und älter weist eine Remote Code Execution (RCE) Schwachstelle auf.
Das Problem: Verwundbare ATTK-Versionen können es einem Angreifer ermöglichen, bösartige Dateien im gleichen Verzeichnis abzulegen. Da das Tool Administratorberechtigungen benötigt, kann das bei Ausführung des ATTK zu einer Arbitrary Remote Code Execution (RCE) führen.
Anzeige
Im Oktober 2019 hatte ich im Blog-Beitrag Sicherheitsupdate für Trend Micro Anti-Threat Toolkit darüber berichtet. Nutzern wurde von Trend Micro dringend empfohlen, so schnell wie möglich auf die neueste Version umzusteigen. Das Tool gibt es hier in der aktuellen Build 1.62.0.1223 für Windows zum Download.
Fix für Schwachstelle CVE-2019-9491 wirkungslos
Bereits kurz nach Veröffentlichung des Beitrags wies Stefan Kanthak Trend Micro per Mail (mit Kopie an mich) darauf hin, dass die Schwachstelle ungefixt sei. Da jetzt einige Tage vergangen sind, veröffentliche ich Auszüge aus der Mail:
The updated files attk_ScanCleanOffline_gui_x86.exe and
attk_ScanCleanOffline_gui_x64.exe offered on
<https://spnsupport.trendmicro.com/> are but STILL vulnerable:
they execute findstr.com/findstr.exe/findstr.bat/findstr.cmd
and REG.com/REG.exe/REG.bat/REG.cmd (see the environment variable
PATHEXT for the extensions) from the directory
"TrendMicro AntiThreat Toolkit\HC_ATTK" where the batch script
batCollector.bat lives:— batCollector.bat —
| @echo off
| setlocal disableDelayedExpansion
| set wd=%~dp0
| cd /d %wd%
…
| for /f "tokens=*" %%a in ('findstr BatCollector= ..\..\config.ini') do (
…
| REG EXPORT …
…findstr and REG are called without file extension and without path
(although BOTH are well-known), so CMD.exe runs
findstr.com/findstr.exe/findstr.bat/findstr.cmd and
REG.com/REG.exe/REG.bat/REG.cmd from its "current working directory" "TrendMicro AntiThreat Toolkit\HC_ATTK"The missing path and extension are BEGINNER'S error #1.
attk_ScanCleanOffline_gui_x86.exe and attk_ScanCleanOffline_gui_x64.exe
fail to restrict (at least write) access to this directory to user's of
the "Administrators" group: this is BEGINNER'S error #2.This UNPROTECTED directory is therefore writable by the unprivileged
user who can place a rogue findstr.com/findstr.exe/findstr.bat/findstr.cmd
and REG.com/REG.exe/REG.bat/REG.cmd there … and gains administrative privileges!GAME OVER!
Additionally an unprivileged attacker can add arbitrary command lines to
the UNPROTECTED batch script batCollector.bat between its creation and
its execution, or replace it completely.
Mit kurzen Worten: Trend Micro hat am ursprünglichen Problem nichts geändert und lässt seine angreifbare 'Sicherheitssoftware' auf die Windows-Nutzer los.
Seit dem Security-Advisory vom Oktober und dem Hinweis an Trend Micro ist ein Monat vergangen. Trend Micro hat gegenüber Stefan Kanthak den Eingang der Mail bestätigt, der Hersteller weiß also um die Problematik.
Hat Trend Micros nachgebessert?
Ich habe mir also heute die aktuelle Version des TM Anti-Thread Toolkit von der Herstellerseite besorgt und in einem Testbett ausgeführt. Die Frage war: Hat der Hersteller die gemeldeten Probleme korrigiert?
- Bereits beim Download warnt der Chrome-Browser (und das ist auch gut so), dass das Programm unsicher sei und ob ich es verwerfen möchte. Ich habe dieses Mal den Chrome-Browser angewiesen, das Programm zu behalten, ich wollte ja testen.
- Das .exe-Programm fordert beim Aufruf administrative Berechtigungen vom Benutzer an, läuft also mit einer erhöhten Berechtigungsstufe und kann allerlei Sauereien machen, falls es kompromittiert wird.
- Es startet das Fenster einer Eingabeaufforderung, in dem die benötigten Module entpackt werden. Dann wird das eigentliche Scan-Modul aufgerufen, welches das System auf Malware prüfen soll.
(Trend Micro Anti-Thread Toolkit DOS-Fenster)
Ich habe die .exe-Datei in einer Testumgebung (die mir von Stefan Kanthak mal bereitgestellt wurde) gestartet. Diese zeigt, ob ein Programm beim Start oder der Ausführung DLL-Dateien im Pfad mit aufruft. In diesem Fall zeigt die Testumgebung einen Warn-Dialog mit weiteren Details zum Aufruf an.
(Wächterwarnung bei Trend Micro Anti-Threat Toolkit (ATTK))
Obiger Screenshot zeigt bereits eine solche Warnung, bei dem die Datei GPAPI.dll vom Toolkit über eine weitere DLL aufgerufen wurde. Statt aber die DLL aus dem Windows-Verzeichnis auszuführen, wurde eine DLL aus dem Testbett (die infiziert sein könnte) aufgerufen. Im Dialogfeld lässt sich erkennen, dass die Aufrufe mit hoher Privilegierungs- und Integritätsstufe ausgeführt werden. Die DLL kann also alles machen, was ein Administrator darf. Das ist jetzt nicht die einzige Warnung – schließt man das Dialogfeld, poppen gleich weitere Warnungen zu weiteren DLLs wie crypt32.dll etc. auf.
Mit anderen Worten: Platziert eine Malware Schaddateien als entsprechend benannte DLL-Dateien in das Verzeichnis, aus dem das Trend Micro Anti-Threat Toolkit aufgerufen wird (üblicherweise der Download-Ordner), werden diese im Huckepack vom Trend Micro Anti-Threat Toolkit mit Administratorberechtigungen ausgeführt. Man kann es auch kürzer fassen: Finger weg vom Trend Micro Anti-Threat Toolkit – das ist Schlangenöl und gefährlich dazu.
Ähnliche Artikel:
Sicherheitsupdate für Trend Micro Anti-Threat Toolkit
Trend Micro WFBS 10.0 SP1: Patch Build 2179 mit Fixes
Trend Micro: Mitarbeiter verkauft Kundendaten an Betrüger
Anzeige
